Aula 04_GESTAO DE SEGURANÇA DE REDES

Prévia do material em texto

*
*
GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS
STATEFUL FIREWALL E NEXT GENERATION FIREWALL
 
*
*
Packet filtering
Stateless packet filter
Stateful packet filter
Application Proxy
Deep packet inspection
SEGURANÇA LÓGICA FIREWALL
*
*
FIREWALL
É uma solução de segurança baseada em hardware ou software, também conhecido como “parede corta-fogo”, separando através de critérios, materializado por regras, a rede interna da externa (INTERNET).
SEGURANÇA LÓGICA FIREWALL
*
*
BOA PRÁTICA - FIREWALL 
Uma boa prática é a rede interna ficar atrás do firewall, para obrigar todo o tráfego entrando ou saindo da rede ser submetido a analise, com a finalidade de bloquear o tráfego indesejado e liberar o tráfego desejado e autorizado.
SEGURANÇA LÓGICA FIREWALL
*
*
LINUX - FIREWALL 
O firewall mais popular do LINUX é o netfilter, popularizado por sua interface iptables.
SEGURANÇA LÓGICA FIREWALL
*
*
CONFIGURAÇÃO MANUAL - FIREWALL 
1º Passo – Definir a Política de Segurança (security policy):
	RESTRITIVA - todo tráfego é bloqueado, exceto o que está explicitamente autorizado; 
	PERMISSIVA - todo tráfego é permitido, exceto o que está explicitamente bloqueado (negado)
SEGURANÇA LÓGICA FIREWALL
*
*
CONFIGURAÇÃO MANUAL - FIREWALL 
2º Passo - Pensar as regras levando em conta o sentido do fluxo;
3º Passo – Ordenar as regras da mais específica para a mais genérica.
SEGURANÇA LÓGICA FIREWALL
*
*
PACKET FILTERING (FILTRO DE PACOTES)
•	Surgiu na década de 80, também conhecido como filtragem estática;
•	Analisa as informações do cabeçalho dos datagramas IP (pacotes) , como endereço IP de origem, destino, tamanho, tipo de serviço etc;
SEGURANÇA LÓGICA FIREWALL
*
*
PACKET FILTERING (FILTRO DE PACOTES)
•	Dificuldade em filtrar protocolos que utilizam portas dinâmicas;
•	PERMITE explorar vulnerabilidades de protocolos e serviços da camada de aplicação.
SEGURANÇA LÓGICA FIREWALL
*
*
STATELESS PACKET FILTER
•	Evolução do filtro de pacotes;
Desempenha todas as funções do filtro de pacotes;
•	Analisa mais detalhes que o filtro de pacotes (flags TCP); 
•	Metodologia intermediária entre o filtro de pacotes e o stateful firewall;
•	IPCHAINS é sua implementação no Linux.
SEGURANÇA LÓGICA FIREWALL
*
*
STATEFUL PACKET FILTER
Conhecido como filtro dinâmico;
Utiliza um conjunto de regras de filtragem e informações de estado das conexões;
A primeira filtragem ocorre com o primeiro pacote (SYN), depois o filtro SPF cria uma entrada para essa conexão (sessão) na tabela de estados
SEGURANÇA LÓGICA FIREWALL
*
*
CABEÇALHO IPv4
*
*
CABEÇALHO TCP
*
*
PACKET FILTER
Trata todo o cabeçalho IP (20 bytes) e
as portas de origem e destino (4 bytes).
*
*
STATELESS
Trata todo o cabeçalho IP (20 bytes); 
as portas de origem e destino (4 bytes) e
em geral analisa os FLAGs de conexão do TCP.
NÃO trata o estado da conexão.
*
*
STATEFUL
Trata todo o cabeçalho IP (20 bytes); 
Trata todo o cabeçalho TCP (20 bytes) ou UDP (8 bytes) ou ICMP.
TRATA o estado da conexão.
O STATEFUL pode realizar o tratamento como se fosse PACKET FILTER ou STATELESS
*
*
COMPARAÇÃO DOS TIPOS FIREWALL
STATEFUL – trata no mínimo 40 bytes (H IP e H Transporte)
PACKET FILTER – trata de 20 a 24 bytes
STATELESS – trata pouco mais de 24 bytes (FLAGs)
*
*
FERRAMENTAS DE FIREWALL
Exemplos de firewalls:
Linux Kernel 2.0.x
IPF – Packet FilterB
IPFWADM – Packet Filter
Linux Kernel 2.2.x
Ipchains – Stateless
Sinus – Packet Filter
*
*
Exemplos de firewalls:
Linux Kernel 2.4.x / 2.6.x
Netfilter (iptables) – Stateful
Outras soluções Open Source:
IPFW – FreeBSD
PF – OpenBSD e FreeBSD 5.x
IPFilter - Solaris 10 
FERRAMENTAS DE FIREWALL
*
*
Dual-homed host
Screened Host
Screened Subnet
ARQUITETURA DE FIREWALL
*
*
Dual-homed host
Screened Host
Screened Subnet
ARQUITETURA DE FIREWALL
*
*
Dual-homed host
Screened Host
Screened Subnet
ARQUITETURA DE FIREWALL
*
*
Dual-homed host
Screened Host
Screened Subnet
ARQUITETURA DE FIREWALL
*
*
ARQUITETURA DE FIREWALL
Dual-homed host
Screened Host
Screened Subnet
*
*
ARQUITETURA DE FIREWALL
Dual-homed host
Screened Host
Screened Subnet
*
*
APPLICATION PROXY – MÉTODOS DE UTILIZAÇÃO
Conexão direta - configurando o navegador;
Proxy de Autenticação – usuário se identifica e autentica;
Proxy Transparente – NÃO configura o navegador, o usuário não tem o conhecimento da existência do proxy ou que o utiliza.
SEGURANÇA LÓGICA FIREWALL
*
*
APPLICATION PROXY
Conhecido como firewall de aplicação, proxy de serviços ou simplesmente proxy;
Permite análise e filtragem até a camada de aplicação;
Necessita de 2 conexões:
Cliente - Proxy;
Proxy - Servidor.
SEGURANÇA LÓGICA FIREWALL
*
*
APPLICATION PROXY - VANTAGENS
Impor restrições com base em:
horários, 
login,
endereço IP etc
Cache de páginas e arquivos;
Registra todos os acesso (LOGs)
SEGURANÇA LÓGICA FIREWALL
*
*
APPLICATION PROXY - DESVANTAGENS
Pode utilizar servidores diferentes para cada aplicação (serviço);
Aumenta o atraso ao acessar um serviço.
SEGURANÇA LÓGICA FIREWALL
*
*
Considerado a evolução do FIREWALL e pode ser visto como a intregração de:
Intrusion Detection (IDS); 
Intrusion Prevention (IPS) e 
Stateful firewall. 
DEEP PACKET INSPECTION - DPI
*
*
Anteriormente acompanhamos a linha do tempo:
Filtro de pacotes – todo o tráfego (ambos sentidos) tem uma regra para permitir ou negar;
Stateless firewall – passou a analisar as portas;
Stateful firewall – criava regras dinamicamente utilizando como base a reação prevista dos protocolos (inspeção inteligente);
DEEP PACKET INSPECTION - DPI
*
*
Anteriormente acompanhamos a linha do tempo:
Application proxy – não foram capazes de controlar as novas ameaças. A multiplicidade de aplicações a serem controladas, agregado à latência adicionada pelo proxy, diminuiram a demanda por esse serviço. 
DEEP PACKET INSPECTION - DPI
*
*
NOVAS DEMANDAS
Aplicações emergentes, necessitam verificação em wire-speed, utilização de XML e Simple Object Access Protocol (SOAP).
 Aplicativos que modificam suas portas de comunicação;
Utilização de tunelamento em protocolos normalmente autorizados (TCP porta 80 – HTTP) 
DEEP PACKET INSPECTION - DPI
*
*
VISÃO DO DPI
Verificar o conteúdo do payload da aplicação, para tomar decisão baseado no conteúdo desses dados; 
DEEP PACKET INSPECTION - DPI
*
*
TÉCNICAS DO DPI (herdadas dos IDS)
Análise baseada em assinaturas;
Estatísticas;
Anomalias.
DEEP PACKET INSPECTION - DPI
*
*
WIRE-SPEED - DPI 
ASICs - Application Specific Integrated Circuits ou
NPUs – Network Processing Units
DEEP PACKET INSPECTION - DPI
*
*
EXEMPLO NECESSIDADE DPI 
O cliente 200.0.0.1 acessa 
o servidor de e-mail 200.10.10.1, 
acesso permitido.
DEEP PACKET INSPECTION - DPI
*
*
EXEMPLO NECESSIDADE DPI 
DEEP PACKET INSPECTION - DPI
*
*
EXEMPLO NECESSIDADE DPI 
DEEP PACKET INSPECTION - DPI
*
*
LEVANTAMENTO DE CONTAS E-MAIL VÁLIDAS
VRFY – confirma nomes de usuários válidos
EXPN – revela os endereços de entrega reais de apelidos e listas de distribuição
DEEP PACKET INSPECTION - DPI
*
*
EXEMPLO NECESSIDADE DPI 
DEEP PACKET INSPECTION - DPI
Negar esta conexão
Negar o cliente totalmente
*
*
DEEP PACKET INSPECTION - DPI
OUTRO EXEMPLO:
Explorar Remote Buffer Overflow in Sendmail
CERT Advisory CA-2003-12
http://memoria.rnp.br/cais/alertas/2003/ca200312.html
*
*
PRÓXIMA AULA
Você conhecerá o que é vulnerabilidade das redes de computadores e seus hosts, as entidades que tratam de segurança no mundo e no Brasil.
ANÁLISE DE VULNERABILIDADES EM REDES DE COMPUTADORES